Kerberos是一种身份验证机制，其中不通过网络传输密码。服务器依赖于票证授予服务器颁发的可信票证，客户机将请求从客户机发送到服务器。

为了为Mobi iOS应用程序启用基于Kerberos的身份验证，需要在iOS设备和移动服务器上执行几个简单的步骤。下面我们将概述这些步骤是什么以及如何执行这些步骤。

在SAP BusinessObject Mobile 6.3及以后版本（仅限iOS）上受支持

在SAP BI平台4.1（SP07及以后版本）和4.2（SP02及以后版本）上受支持

（注意：本文编写时假设BI平台配置为基于Kerberos的身份验证）。Kerberos SSO仅支持来自mobile的普通BOE连接。不支持涉及SUP和SMP的连接）

配置WinAD机器

从iOS 10开始只支持受限的凭证委派。我们需要确保WinAD机器配置为支持相同的。因此，如果您的组织有用户使用支持iOS 10的设备，则此步骤是强制性的。

需要注意的一点是，受限凭证委派也适用于iOS 9。因此，即使没有iOS 10用户，也最好确保设置它。

*打开Active Directory用户和计算机。*选择SAP业务对象服务帐户。右键单击并打开"属性"*打开"属性"中的"委派"选项卡。

*默认情况下，物联网的，所选选项为"信任此用户委派到任何服务（仅限Kerberos）"。更改到第三个选项："仅信任此用户委派到指定服务"选择上述选项下的"仅限使用Kerberos"选项。现在单击"添加"按钮添加指定的服务类型。

*在"添加服务"窗口中，用云服务器，单击"用户或计算机"按钮

*在"输入要选择的对象名称"文本区域中输入服务帐户名称，然后单击"检查名称"按钮。这将以下面的格式添加服务帐户名称。点击"确定"完成格式：服务\帐户\名称（服务帐户登录名）

*点击"全选"和"确定"。这将为指定的"用户/计算机"选择所有服务类型

*最后"应用"和"确定"将更改应用于服务帐户。

以上步骤将更改服务帐户的委派为约束委派）

在iOS Kerberos上配置iOS设备

由一个配置配置文件控制，物联网工程师，该配置文件指导iOS框架，以便了解如何处理Kerberos票证。此配置文件可以从任何MDM工具安装。如果没有MDM工具，大数据分析是什么专业，则可以在任何应用程序服务器上托管该文件，并访问safari浏览器上的链接。iOS会自动将其检测为Kerberos SSO配置文件，并提供安装屏幕。屏幕配置配置文件应具有.mobileconfig扩展名。让我们看看一个示例配置文件，并检查应该更新哪些值。

在部署之前必须仔细修改此配置文件，因为这是告诉iOS如何以及何时附加Kerberos服务票证的单一源。在提供Name、PrincipalName、Realm和URLPrefixMatches的值时应格外小心。

在SAP BusinessObjects Mobile中配置导入连接服务器

只能使用导入服务器URL设置SSO连接。以下连接配置需要在中的MOBI配置服务器（MOBIServer）上完成服务器属性文件

SSO_Kerberos.DisplayName–这可以是任何字符串，它将成为您的连接名称

SSO_Kerberos.BOBJ\u移动\u URL–这是移动服务器url。这里给出的url和上一节中规定的iOS配置文件的URLPrefixMatches中给出的url必须相同。（URL应为FQDN*）

SSO_Kerberos.BOBJ\u移动\u CMS–这应该是运行BI平台CMS的CMS群集名称或FQDN主机名。

SSO_Kerberos.BOBJ\u MOBILE\u SSO\u已启用–不要更改值！让它成为现实

SSO_Kerberos.BOBJ\移动\ SSO\类型–不要更改值。让它是kerberos.

配置移动服务器

最后但并非最不重要的是，必须为基于kerberos的身份验证启用移动服务器。您需要执行以下三个步骤

*停止tomcat服务器

*修改sso.properties属性, authscheme.properties属性以及网站.xml

*清洁启动tomcat服务器。

让我们看看对上述三个文件所做的更改。

更改sso.properties属性

变更authscheme.properties属性

取消注释上图中突出显示的KERBEROS属性。

配置网站.xml

更换网站.xml存在于随附的移动服务网站.xml文件！（请确保选择了适合自己的XML。我们有一个用于4.1，数据分析，一个用于4.2）下面提到的一些参数应提供特定于您的环境的值。

已启用ssotrue

siteminder.enabled已启用false

已启用vintelatrue

idm领域{你的域名在这里}

首席执行官{这里是您的主体名称}

idm.allowUnsecured许可证true

idm.allowNTLM公司false

idm.logger.name名称简单

idm.logger.props文件错误-日志属性

这些键的值可以在中找到全局.properties它将在使用kerberos设置BI平台时创建。全局.properties可在安装文件夹\tomcat\webapps\BOE\WEB-INF\config\custom下找到\全局.properties.注意：如果您已经进行了博客第一节中描述的更改以启用受约束的凭据委派，那么您必须将以下配置添加到网站.xml以及确保移动服务器可以与您的WinAD机器一起工作。

idm.allowS4U允许true

更改为网站.xml对于Lumira 2.0附加组件

如果您已经安装了Lumira 2.0附加组件，那么我们需要对附件进行更多的修改网站.xml（不管xml是用于4.1还是4.2）

故障排除和帮助

如何使用BI平台设置Kerberos–苹果对Kerberos的支持-https://developer.apple.com/videos/wwdc/2013/

https://developer.apple.com/library/ios/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html

Kerberos SSO在iPad上似乎不起作用-这可能是由于多种原因

但最好检查以下几点在进一步调查

用户的DNS服务器设置之前，设备上的东西必须包括票证授予

服务器需要向iPad提供票证的地方的详细信息。这包括在DNS

和已连接Wi-Fi网络的IP地址设置下的搜索域中添加条目。

如果您在尝试连接到

kerberos连接时收到用户名/密码验证弹出窗口，请尝试重新启动iPad，因为iPad上安装的配置文件

有时需要重新启动。